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面向 系统 确保 的 属性 可 计算 方法 


RZJ RWE, XLF 
摘要 : 由 于 系统 运行 环境 的 复杂 化 、 用 户 的 多 样 性 以 及 软件 正确 性 的 不 可 判定 ， 确 保 系统 完全 按照 预期 提 
供 服 务 非 常 困难 ， 因 此 安全 评估 方法 与 建 模 技 术 就 成 为 系统 确保 研究 中 的 重要 内 容 和 关键 支撑 技术 ， 被 用 
来 尝试 解决 现 有 评估 方法 存在 的 局 部 性 和 状态 爆炸 以 及 对 互联 网 的 内 容 访问 控制 评估 方法 的 缺失 等 问题 。 
本 文 首先 概述 安全 评估 的 相关 工作 , 然后 介绍 我 们 的 研究 工作 -信息 内 容 安全 的 控制 模型 和 定量 评价 方法 以 
及 混杂 检测 中 的 机 密 性 与 完整 性 模型 。 
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1 引言 
之 研究 者 对 安全 的 认识 经 历 了 “从 信息 安全 AD 到 信息 确保 (IA)， 从 信息 确保 到 软件 确 
e 保 (SwA)， 从 软件 确保 到 系统 确保 (SysA》 ”这 样 一 个 过 程 。 从 信息 安全 到 信息 确保 ， 表 


明 信 息 安全 的 研究 是 从 技术 走向 服务 , 从 提供 技术 手段 走向 提供 安全 服务 能 力 。 从 信息 确保 
到 软件 确保 ， 表 明 信 息 安全 的 工作 是 从 外 部 走向 内 部 ， 从 事后 的 补充 性 手段 走向 事前 的 防 利 
性 手段 ， 在 源头 进行 堵截 。 从 软件 确保 到 系统 确保 表明 信息 安全 的 工作 是 从 局 部 走向 整体 ， 
e 从 单方 面 的 关注 安全 到 全 局 的 考虑 。 


一 本 质 上 ， 系 统 确 保 是 确保 硬 软件 系统 在 一 定 的 环境 下 与 用 户 交 互 过 程 中 提供 预期 服务 ， 
> 并 提供 一 种 合理 的 确信 级 别 。 由 于 系统 运行 环境 的 复杂 性 、 用 户 的 多 样 性 以 及 软件 正确 性 的 
u 不 可 判定 性 ， 要 确保 系统 绝对 地 按照 预期 服务 是 非常 困难 的 。 在 这 种 情况 下 ， 对 系统 的 评价 


Is 显得 至 关 重要 。 


G 近年 来 ,针对 安全 分 析 与 评估 ,研究 人 员 提 出 了 多 种 模型 和 方法 。 目 前 广泛 使 用 的 方法 

.过 包括 : 基于 规则 的 评估 和 基于 模型 的 评估 等 ,基于 规则 的 评估 从 已 知 的 安全 问题 中 抽取 特征 ， 
并 归纳 成 规则 表达 式 , 将 目标 系统 与 已 有 的 规则 进行 匹配 ,通过 这 种 方法 来 寻找 目标 系统 中 
存在 的 安全 隐患 。 而 基于 模型 的 评估 方法 则 是 为 整个 系统 建立 模型 ,并 通过 模型 获得 系统 所 
有 可 能 的 行为 和 状态 ， 从 而 利用 模型 分 析 工 具 对 系统 整体 的 安全 性 进行 评估 。 但 这 些 方法 均 
为 通用 的 方法 。 通 用 方法 的 缺点 在 于 可 能 偏离 用 户 的 安全 需求 ,缺乏 准确 性 。 如 ,假设 某 个 
系统 仅 需 要 保障 完整 性 ， 且 该 系统 不 存在 不 满足 完整 性 的 漏洞 , 但 存在 不 满足 其 它 安全 性 质 
的 漏洞 ， 此 时 ， 若 采取 通用 的 方法 进行 分 机， 由 于 通用 的 方法 会 分 析 系 统 所 有 的 漏洞 ， 这 使 
得 对 系统 的 评价 会 偏离 用 户 的 关注 点 ， 影响 评价 结果 的 准确 性 。 在 这 种 情况 下 ,修复 对 用 户 
来 说 并 不 关心 的 漏洞 会 付出 不 必要 的 代价 。 


我 们 认为 ， 系统 确保 所 提供 服务 的 落脚 点 又 可 以 归结 为 信息 或 者 系统 组 件 的 机 密 性 、 可 
别 性 、 可 控 性 和 可 用 性 等 安全 属性 的 逻辑 组 合 。 因 此 ， 对 系统 及 其 各 个 组 件 所 提供 的 安全 
务 进行 安全 度量 就 可 以 直接 归结 为 对 安全 服务 所 依赖 的 安全 属性 的 计算 问题 。 


因此 ,我 们 选 定 “ 面 向 系统 确保 的 安全 属性 计算 模型 与 评估 方法 ”作为 课题 研究 和 实现 
的 突破 口 , 在 分 析 国 内 外 安全 属性 和 评估 相关 的 模型 、 理 论 与 技术 的 发 展 前 沿 和 最 新 动态 的 
基础 上 , 借鉴 属性 分 析 和 安全 评估 方向 的 已 有 成 果 ， 面 向 系统 确保 的 实际 需求 ,开展 基于 安 
全 属性 概率 计算 的 评估 模型 、 方 法 与 技术 的 研究 , 增加 对 信息 内 容 安 全 和 网 络 访问 控制 的 安 
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性 可 计算 方法 


全 


进行 划分 ， 
能 力 ， 通 六 


同 通 用 的 评估 方法 相 比 ， 
方法 的 不 准确 ， 而 且 还 
EE， 可 对 系统 的 不 同 层面 进行 评估 ， 并 发 现 已 有 技术 的 不 足 。 
E 架 的 长 处 在 于 : CIO 更 能 发 现 保障 安全 需求 的 瓶颈 ， 
E 往 是 系统 安全 与 不 安全 ， 而 实际 上 要 保持 系统 的 绝对 安全 是 不 可 能 
而 属性 计算 正 是 计算 安全 的 度 ， 这 使 
架 是 从 系统 提供 


效 克服 通用 评估 

[5] 
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理 一 一 定性 分 析 结果 往 
的 

得 属性 可 计 
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2 评估 能 力 。 具 体 而 言 ， 属性 
研究 子 系统 的 


从 安全 属性 的 形式 化 


可 计算 框架 是 从 安全 属性 的 
层次 关系 ， 区 分 子 服务 之 间 


HHF 


过 概率 传递 ， 进 而 计算 出 各 层次 保障 不 同安 全 属性 的 


BRE 


算 框 架 不 仅 对 


角度 出 发 ， 对 
关系， 


具体 的 安 


评估 


全 服务 进行 定量 的 评估 , 可 有 


系统 提供 的 安全 服务 
子 系统 提供 子 服务 的 


:能 提供 从 不 同 角 


同 定 性 


度 〈 安 全 层次 和 安全 要 素 ) 的 求 精 
分 析 相 比 ， 属 性 可 计算 


提高 保障 能 


进而 


， 只 要 使 对 安全 的 破坏 度 保持 在 容许 的 范围 内 即 可 ， 
算 框架 更 符合 实际 需求 。 同 其 它 的 量化 分 析 相 比 ， 
不 可 分 割 的 子 服 务 的 能 力 出 发 进行 考察 ， 外 


相关 研究 概述 


为 了 实现 基于 属性 可 计算 的 思 
的 关系 ， 然 后 以 此 为 基础 进行 量化 评估 。 
述 方法 及 关联 性 分 析 、 安 全 模型 及 其 量 


想 对 


属性 可 计算 杠 
8 有 效 地 减少 主观 赋值 而 导致 的 不 客观 性 。 


功 


; (2) 度量 更 为 合 


系统 进行 评估 ,首先 要 建立 安全 模型 , 分 析 属 性 之 间 
为 此 ， 需 要 对 安全 属性 的 形式 化 描述 。 因 此 ， 下 面 
化 分 析 方 法 来 概述 相关 工作 。 


2.1 安全 属性 的 形式 化 描述 和 关联 性 分 析 


安全 属性 
(J. Jacob) ! 


于 进程 代数 的 方法 和 基于 
中 ， 基于 进程 代数 对 安全 属 ES] 
也 包括 两 个 分 支 : 基于 进程 


Zh. H 
性 的 研究 
代数 的 信息 流 的 安全 


的 形式 描述 始 于 
， 包 括 了 两 条 主线 : 
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进程 代数 的 通 


m 
用 安全 属性 的 分 析 。 
基于 进程 代数 的 信息 
性 分 析 ， 主 要 研究 如 何 利 用 进程 代数 


雅 各 布 
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认 知 逻辑 的 


分 析 和 基于 


流 的 安全 属 


来 分 析 系 统 是 否 存 在 干扰 ， 以 及 量化 


图 1. 非 确 


图 2. 概率 条 件 下 的 属性 关系 图 


图 3. 时 间 条 件 下 的 属 
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定 条 件 下 属性 关 图 


PTNI 


性 关系 
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Mrd 的 信息 泄漏 情况 。 最 早 提 出 无 干扰 概念 的 是 美国 加 利 福利 亚 大 学 的 戈 恩 (J. Goguen)! 
]， 分 析 信 息 流 中 安全 属性 的 代表 性 人 物 有 意大利 威尼斯 东方 大 学 CUniversità Ca' Foscari di 
Venezia) 的 福 卡 尔 迪 (R. Focardi) ^ 7), 意大利 乌 尔 比 诺 大 学 (Universita Degli Studi di Urbino 
Carlo Bo) 的 阿尔 迪 尼 CA. Aldini) 等。 他 们 主要 基于 无 干扰 (Non- interference). 的 方法 
分 析 什 么 情况 下 存在 信息 泄露 。 总 体 思路 是 : 首先 设计 合适 的 描述 体系 ， 而 后 分 析 信息 流 在 
什么 类 型 情况 下 不 存在 信息 汇 露 (不 存在 泄漏 ， 则 称 之 为 一 种 属性 )， 进 而 比较 不 同情 况 属 
性 之 间 的 关系 。 图 1、 图 2 和 图 3 分 别 给 出 了 非 确定 条 件 下 、 概 率 条 件 下 和 时 间 概 率 条 件 下 
BEEREK, R 1 一 3 中 : NNI 一 Non-deterministic Non Interference 〈 非 确定 无 干扰 )， 
NDC 一 Non Deducibility on Compositions (组 合 上 不 可 推演 )，BNNI 一 Bisimulation NNI (H. 
模拟 NND , SNNI—Strong NNI( 强 NND, BSNNI-Bisimultion Strong NNI( 互 模拟 强 NND, 
BNDC— Bisimulation NDC( 互 模拟 NDC)，SBSNN 一 Strong BSNNI ( 强 BSNNI), SBNDC 
— Strong BNDC 〈 强 BNDC)，BSPNI 一 Strong Bisimulation Probabilistic Non Interference 〈 量 
互 模拟 概率 无 干扰 ), PBNDC 一 Probabilistic BNDC (概率 BNDC), SPSNDC 一 Strong PBNDC 
( 强 PBNDC)，TNI 一 Time Non Interference〈 时 间 无 干扰 )，PTNI 一 Probabilistic TNI. CREE 
TNI) 基于 无 干扰 的 安全 分 析 。 虽 然 以 上 很 多 工作 都 冠 以 "Security Properties《〈 安 全 属性 ) ”， 

晶 均 只 讨论 信息 的 隐 式 泄漏 情况 , 其 实质 是 分 析 保 密 性 , 显然 保密 性 只 是 安全 属性 的 一 部 分 


dinde A 的 分 析 方 面 ， 具 有 代表 性 的 一 项 是 英国 伦敦 大 学 S. 施 奈 
德 (S. Schneider) If] T4 EP, 他 利用 通信 顺序 进程 (CSP，Communicating Sequential Processes) 
来 刻画 和 分 析 安 全 属性 。 安 全 属性 的 刻画 独立 于 系统 (安全 协议 )， 其 刻画 的 属性 包括 机 密 
性 和 基于 消息 的 鉴别 性 (Message Authentication)。 另 一 项 是 福 卡 尔 迪 > 中 的 工作 ， 他 将 系统 
的 攻击 看 作 一 种 干扰 动作 ， 进 而 基于 迹 (trace) 描 述 一 致 性 (Agreement property)、 面 向 消息 的 
可 鉴别 性 (Message-Oriented Authentication) 和 和 不 可 否认 性 。 得 出 的 结论 是 : 当 且 仅 当 系统 在 
攻击 存在 情况 的 迹 是 系统 不 存在 攻击 的 情况 的 迹 前 级 ,系统 满足 这 些 安全 属性 。 该 工作 很 好 
地 将 无 干扰 的 概念 和 通用 的 安全 属性 结合 起 来 。 然 而 ， 这 些 方式 只 分 析 了 机 密 性 、 认 证 性 和 
不 可 否认 性 。 


英国 剑桥 大 学 的 布 罗斯 (M. Burrows). 等 人 采用 认 知 逻辑 来 描述 安全 属性 ， 做 出 了 开创 

性 的 工作 0， 其 目标 是 分 析 安 全 协议 ， 该 逻辑 被 称 为 BAN 逻辑。 BAN 人 逻辑 的 出 现 引 发 了 大 

一 量 分 析 安全 协议 认 知 逻辑 的 产生 ， 比 如 GNY 394807, AT 3948078 vo 逻辑 中 等 。 认 知 逻 
FT 辑 以 诸如 “主体 知道 ...”“ 主 体 相 信 .….” 的 方式 来 表示 知识 (Knowledge) 和 “信仰 ”(Belief)。 
这 种 方式 简单 直观 ,使 用 灵活 。 然 而 ,目前 的 认 知 逻 辑 方法 并 不 能 真正 解决 协议 安全 性 分 析 

中 的 问题 ， 上 只 能 作为 一 个 辅助 手段 来 发 现 协议 的 安全 漏洞 。 因 为 ， 许 多 认 知 逮 辑 化 方法 “证 

明 ?* 为 安全 的 协议 ， 后 来 发 现 仍 是 不 安全 的 。 其 根本 原因 是 这 些 认 知 罗 辑 缺 乏 明 确 的 形式 语 

义 、 解 释 存 在 歧义 、 公 理 不 是 概率 真 ， 逻 辑 规则 可 能 不 可 靠 [。 


除了 进程 代数 和 认 知 逻辑 之 外 , 还 有 其 它 工作 , 比如 文献 T., FRU CS. Gürgens) 09 
也 将 系统 属性 描述 为 动作 迹 ， 刻 画 了 认证 性 和 保密 性 ， 但 这 种 方法 非常 不 直观 ， 很 难 推理 属 
性 之 间 的 关系 。 在 安全 协议 领域 ， 还 有 很 多 方法 来 描述 安全 性 质 ， 比 如 徐 蔚 文 所 采用 的 线 | 
WAZ, EE OM. Panti ) 所 采用 的 计算 树 逻 辑 上 等。 另外 美国 IJBM 公司 的 阿尔 帕 恩 
和 康 奈 尔 大 学 的 施 奈 (B. Alpern F. Schneider) 还 给 出 了 Safety (保险 性 ) 和 Liveness 
(活性 ) 的 形式 描述 ， 指 出 了 每 个 属性 都 是 Safety 和 Liveness 的 交集 由， 克拉 克 森 M.R. 
Clarkson) 和 下 . 施 奈 德 于 2008 年 提出 了 超 属性 (HyperProperty) 的 概念 上 。 


2.2 基于 属性 的 安全 模型 


= 


T 


直观 地 解释 ， 在 计算 机 安全 领域 ,“Safety” 是 指 坏事 情 不 发 生 ,“Liveness” 是 指 好 事情 会 发 生 
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最 早 的 机 密 性 模型 是 BLP 模型 [23， 最 早 的 完整 性 模型 是 Biba 模型 请 。 这 两 种 模型 的 核 
心 分 别 是 “上 写 下 读 ” 和 “上 读 下 写 ” 在 策略 上 是 相反 的 。BLP 模型 和 Biba 模型 在 研究 界 
得 到 热烈 的 讨论 ， 在 工程 中 得 到 广泛 的 应 用 。 除 了 这 两 种 模型 外 ， 其 它 的 模型 包括 RBAC 
模型 、 信 息 流 模型 、 无 干扰 模型 让、DTE 模型 鸣 、 克 拉克 -威尔逊 〈Clark-Wilson) AIPS, 
国 墙 模型 和 UCON 模型 ?等 。 这 些 模 型 各 有 千秋 ， 如 RBAC 的 结构 简单 ， 易 于 实现 ， 也 
易 与 其 他 模型 结合 , 但 很 难 控制 同一 用 户 以 不 同 的 身份 进入 系统 破坏 安全 性 ; 信息 流 模型 可 
以 解决 隐 通 道 问 题 , 但 有 些 严格 的 安全 条 件 是 不 可 判定 ; 中 国 墙 模型 同时 涉及 到 保密 性 和 完 
整 性 ， 其 目的 是 为 了 解决 商业 中 的 利益 冲突 ， 在 金融 领域 中 有 出 色 的 表现 ， 克 拉克 -威尔逊 
模型 可 以 在 理论 上 较 好 地 解决 完整 性 问题 ,但 不 易 在 现实 系统 中 实现 。 纵 观 机 密 性 和 完整 性 
模型 ， 它 们 提供 了 在 什么 条 件 下 是 安全 的 ， 但 不 支持 量化 评估 。 


针对 系统 运行 涉及 的 可 用 性 、 可 靠 性 、 生 存 性 等 属性 的 模型 大 部 分 基于 图 论 和 各 种 随机 
EUM. S. 杰 哈 ha) 等 所 将 状态 机 模型 、 形 式 逻 辑 以 及 贝 叶 斯 分 析 方 法 应 用 在 对 系统 可 用 
性 和 生存 性 的 分 析 上 。 刘 《Y. Lio. 等 上 提供 了 可 生存 性 评价 的 一 般 框架 ， 假 设 系统 失效 时 
间 满 足 随 机 分 布 ， 得 到 传输 网 络 的 马尔 可 夫 横 型 ， 进 而 获得 网 络 的 生存 性 指标 。 这 种 基于 排 
队 论 和 可 靠 性 理论 的 分 析 方 法 还 被 应 用 在 自 组 织 〈ad-hoc) 网 络 中 的 。J. 麦克 德 莫 特 


H 


L 


t (McDermott) 等 553 使 用 随机 进程 代数 (Stochastic Process Algebra) 描述 攻击 者 和 系统 的 行 
-- 为 ， 并 对 系统 的 可 用 性 和 生存 性 进行 了 定量 评价 。M. 达 西 尔 (Dacier) 等 59 使 用 随机 Petri 
CN 网 SPN 〈Stochastic Petri Nets) 分 析 系 统 安全 性 ， 将 原子 攻击 转化 为 SPN 中 的 随机 变迁 ， 通 
O 过 求解 SPN 模型 得 到 连续 时 间 的 马尔 可 夫 链 。 高 级 随机 模型 有 很 强 的 描述 能 力 ， 能 够 有 效 
cm 描述 系统 资源 、 服 务 等 在 系统 运行 中 的 情况 ， 对 系统 的 安全 设计 有 很 重要 的 意义 , 但 用 于 系 
© 统 安全 性 的 量化 分 析 容 易 产 生 状 态 爆 炸 问题 。 


2.3 安全 属性 量化 评价 方面 

针对 信息 的 机 密 性 ， 有 一 些 工作 立足 于 从 干扰 的 角度 来 度量 信息 的 隐 式 汇 露 。 最 早 机 密 
性 的 量化 工作 可 追溯 到 1982 年 ， 当 时 丹 宁 (D. Denning ) 给 出 了 检测 程序 中 信息 泄露 的 
方法 。 继 丹 宁 之 后 , 研究 者 进行 了 大 量 的 工作 。 有 具有 代表 性 的 是 : 1987 年 米 伦 (J. Millen) P?! 
ERWA T JC T G5 Hof LBS SOS ZR. Ah T i s LP REPAS LSU Ej 8 ACE ZA CRT] 
系 。 EU (J. McLean) BJ 和 格 瑞 G.W. Gray IT) UH. 等 区 分 了 非 确定 信息 流 和 概率 信息 流 ， 
给 出 了 概率 信息 流 的 通用 模型 。 但 丹 守 和 米 伦 方式 的 缺点 在 于 其 度量 并 不 准确 叶 ， 麦 克 林 
工作 的 缺点 是 很 难 区 分 高 低 安 全 级 对 象 之 间 的 因果 关系 。 另 外 , AE TEE EE FARR, 
然而 ，2009 年 史密斯 CG. Smith) 5 指出 即使 某 个 变量 很 容易 被 猜测 到 ， 它 也 可 能 具有 任 
意 大 的 香农 焙 。 这 导致 基 于 香农 信 的 方式 并 不 一 定 准确 。 史 密斯 进而 以 贝 叶 斯 风险 为 基础 ， 
利用 雷 尼 Rényi) 最 小 炉 来 度量 不 确定 性 ， 以 此 给 出 信息 泄露 的 度量 方法 。2005 年 克拉 克 
森 5 利用 概率 分 布 来 为 攻击 者 的 “信仰 ” 建 模 ， 而 后 利用 贝 叶 斯 技术 来 修正 该 信仰 ， 进 而 
利用 相对 炳 来 量化 基于 “信仰 ”的 信息 流 。2010 年 哈 马 度 CS. Hamadou) 55 认 为 基于 “信仰 ” 
和 贝 叶 斯 风险 方式 量化 信息 流 也 是 不 准确 的 , 进而 提出 了 一 种 混合 指标 评价 。2008 年 阿迪 尼 
CA. Aldini) 等 5 采用 概率 弱 互 模拟 来 标识 信息 的 泄露 ， 而 后 利用 不 同 进程 中 相同 的 动 
作 的 最 大 概率 差 来 度量 信息 的 泄露 。 然 而 ， 我 们 的 实验 表明 : 这 种 度量 方式 并 不 准确 1。 
在 抽象 解释 层面 ， 安 国 〈H. Yasuoka) [9 分 析 了 基于 炉 方 式 进行 量化 分 析 的 难度 和 可 能 性 ， 
间 出 对 于 任意 的 K， 现 有 的 方式 都 不 是 k 安 全 (CK-safety)， 因 此 不 能 采用 自 组 合 方式 来 量化 信 
DiE. EF (Köp) 中 利用 猜测 〈guessed) WA h TARERE, HKEY 
执行 的 次 数 来 量化 其 信息 泄露 界 。 

上 面 的 分 析 表 明 : 虽然 目前 对 信息 流 的 量化 作 了 深入 研究 , 但 是 如 何 保障 量化 的 准确 性 
仍 是 一 个 难题 ; 另外 ， 也 少 有 工作 分 析 信 息 洪 露 量 的 上 下 界 ; 更 重要 的 是 大 多 数 对 信息 流 的 
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度量 研究 聚焦 于 信息 的 泄漏 ， 很 少 研究 信息 流 的 完整 性 。2010 年 克拉 克 森 开启 了 面向 信息 
流 完整 性 的 量化 评估 [的 ， 他 以 互信 息 为 基础 ， 区 分 污染 点 和 抑制 点 ， 给 出 了 完整 性 破坏 度 
的 计算 方法 。 虽然 克拉 克 森 首先 开启 了 面向 信息 流 完整 性 的 量化 评价 , 但 其 度量 方式 及 评价 
指标 都 比较 单一 ， 没 有 考虑 拓扑 变化 、 污 点 及 抑制 点 可 能 传播 的 情况 ， 也 没有 考虑 势 差 等 对 
完整 性 的 影响 。 因 此 ， 其 应 用 范围 有 限 。 


由 利 特 尔 伍德 (B. Littlewood) 提出 来 的 概率 定量 衡量 安全 属性 的 方法 请 针对 系统 运 
行 的 安全 性 以 及 服务 的 可 用 性 , 试图 找 出 可 信赖 评价 与 安全 属性 评价 的 相似 之 处 , 然后 利用 
可 信赖 评估 的 思想 给 出 可 用 性 、 可 靠 性 、 生 存 性 等 安全 属性 的 指标 型 概率 定义 。 然 而 可 信赖 
分 析 认 为 系统 失效 是 由 于 组 件 随机 故障 引起 的 , 而 实际 的 网 络 与 信息 系统 中 的 安全 故障 是 由 
恶意 攻击 而 引起 的 “拜占庭 (Byzantine)” 式 故障 ， 因 而 在 可 信赖 评估 与 安全 属性 定量 评估 
之 间 造 成 了 一 道 鸿沟 。 而 基于 图 论 、 排 队 论 和 随机 模型 的 定量 分 析 方法 的 则 由 于 目前 网 络 
系统 的 规模 大 、 绪 构 复杂 而 出 现状 态 爆 炸 问题 ,只 能 针对 局 部 网 络 或 小 规模 系统 进行 ,没有 
形成 系统 的 实用 化 的 评价 方法 和 实现 机 制 ， 且 存在 安全 属性 的 内 涵 不 一 致 和 重 登 的 问题 。 


3 ”研究 进展 


面向 系统 确保 的 属性 可 计算 实际 上 要 研究 可 控 性 、 可 用 性 、 可 鉴别 性 及 机 密 性 等 的 计算 


模型 。 
3.1 互联 网 内 容 安 全 的 控制 模型 ICCON 及 评价 


虽然 访问 控制 和 安全 评价 的 理论 与 实践 均 得 到 重大 发 展 , 但 目前 信息 内 容 安 全 的 控制 模 
型 和 定量 评价 方法 少 有 研究 。 


3.1.1 引用 监视 器 的 作用 位 置 


引用 监视 器 存储 访问 控制 策略 和 判定 规则 , 并 依据 这 些 规 则 控制 主体 对 客体 的 访问 ,是 
访问 控制 的 核心 组 件 。 在 信息 内 容 安全 中 应 用 的 监视 器 有 三 种 : 服务 端 引 用 监视 器 (SRM, 
Server-side Reference Monitor)， 客 户 端 引 用 监视 器 (CRM, Client-side Reference Monitor) 及 
网 络 引用 监视 器 CNRM, Networked Reference Monitor)， 如 图 4~6。 服 务 端 引用 监视 器 在 服 
务 端 检查 从 客体 流向 主体 的 信息 流 或 者 主体 对 客体 进行 的 操作 , 客户 端 引 用 服务 器 在 客户 端 
检查 从 客体 流 回 主体 的 信息 流 或 者 主体 对 客体 进行 的 操作 , 网 络 引 用 监视 器 负责 从 网 络 端 实 
施 内 容 安全 的 控制 过 程 。 


PC 


图 4。 服务 端 引用 监控 图 5， 客户 端 引 用 监控 图 6。 网络 引 用 监控 


3.1.2 控制 模型 
有 害 信息 的 传播 者 不 可 能 主动 将 信息 提交 给 网 络 引用 监视 器 进行 分 析 , 因此 为 了 对 内 容 


”本 小 结 主要 引 自 方 滨 兴 、 郭 云 川 、 周 浏 《互联 网 信息 内 容 安全 的 ICCON 控制 模型 及 评价 》 一 文 
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面向 系统 确保 的 属 


进行 控制 , 网 络 引用 监视 器 必需 先 获 取 访 问 信息 。I 


器 中 控制 过 程 包括 三 个 阶段 : 信 


身份 、 内 容 和 行为 。 


基于 信息 内 容 安全 的 控制 
过 程 和 作用 对 象 , 可 以 得 到 互联 
网 信息 内 容 控制 的 三 种 基本 模 
型 : 基于 内 容 的 控制 模型 、 基 于 
身份 的 控制 模型 和 基于 行为 的 


所 以 对 获取 的 信息 需要 鉴别 ， 最 后 需要 对 不 合理 


控制 模型 ， 分 别称 为 ICCONc 


ICCON; 和 ICCONs， 这 三 个 模 
如 图 7。 


型 的 组 合 为 ICCON， 
3.1.3 评价 方法 


评价 信息 内 容 安全 的 控 人 


^ 


gl 


能 力 是 信息 内 容 安全 研究 的 
个 重点 。 


针对 信息 内 容 , 评价 其 实施 控 


来 评价 其 控制 效果 , 反映 在 给 定 条 们 
对 每 个 评价 常 采 用 两 个 指标 : 漏 控 率 和 误 控 率 。 小 
应 而 未 响应 的 概率 ， 误 控 率 则 是 指 预 
度 的 预期 ， 也 可 能 是 从 技术 角度 的 预期 。 这 样 评价 指标 包含 ] 


评价 误 控 率 、 技 术 评 价 漏 控 率 


应 能 力 ， 最 终 获 得 对 信 


目前 关注 的 评价 方法 有 
两 种 : 社会 评价 和 技术 评价 。 社 


会 评价 是 从 社会 需求 出 发 , 完全 


gl 


图 7. 
AUR. 体现 对 内 容 安全 的 控制 结果 与 社会 预期 的 差别 ; 技术 评价 是 针对 某 种 


性 可 计算 方法 


于 获取 的 信息 可 能 没有 明确 的 属性 标识 ， 
的 信息 流动 产生 响应 。 因 此 ， 
息 获取 ， 信 息 鉴 别 和 响应 。“ 谁 与 谁 在 通 
通信 ”和 “通信 的 内 容 是 什么 ”构成 了 通信 的 三 个 基本 要 素 , 因此 控制 过 程 的 对 象 包括 三 个 : 


网 络 引用 监视 
R”, HADR 


CT: 内 容 样板 
IT: 标识 样板 
BT: 行为 样板 
CA: 内 容 认 证 
IA: 标识 认证 
BA: 行为 认证 
CC: 通道 捕获 
IQ: 标识 获取 
CQ: 内 容 获取 
BQL: 行为 获取 


内 容 安全 控制 框架 


UA EIER 


F P. 被 评价 技术 实现 的 结果 和 该 技术 的 预期 结果 的 差别 。 


控 率 是 指 预期 应 对 信息 的 流动 进行 响 


期 不 应 响应 而 响应 的 概率 。 这 里 的 预期 可 能 是 从 社会 角 


四 类 : 社会 评价 漏 控 率 、 社 会 


和 技术 评价 误 控 率 。 本 文 主要 关注 技术 评价 ， 为 此 ， 我 们 将 对 
信息 内 容 安全 控制 能 力 的 评价 转 为 对 控制 过 程 的 评价 ， 即 训 


娠 内 容 安全 控制 能 力 的 评价 。 
3.2 混杂 检测 中 的 机 密 性 与 完整 性 模型 


Fr 


宫 息 获取 能 力 、 鉴 别 能 力 和 响 


移动 计算 中 的 机 密 性 和 完整 性 是 计算 机 安全 模型 的 重要 核心 问题 之 一 ,为 了 保障 移动 计 
算 中 的 机 密 性 和 完整 性 ， 需 要 相应 的 控制 模型 。 最 早 的 机 密 性 模型 是 BLP 模型 ， 最 早 的 完 


整 性 模型 是 Biba 模型 ， 


这 两 种 模型 在 流向 上 是 矛盾 的 。 
文献 [45] 指 出 ， 


成 这 两 种 模型 需要 深入 研究 。 
从 而 复合 BLP 和 Biba 模型 ; 


型 ， 因此， 可 利用 “ 格 的 直 积 仍 为 格 ” 这 利 
流向 之 间 的 矛盾 性 ;文献 [47, 48, 49 
型 复合 了 BLP 模型 和 Biba 模型 ， 但 这 个 可 信和 主体 上 
献 [50] 将 访问 信息 的 主体 划分 为 四 


积 方式 不 能 处 理 


有 可 能 把 完整 性 和 机 密 性 的 存 
文献 [46] 指 出 BLP 模型 和 Biba 模型 均 属于 基于 格 的 信息 流 模 
性 质 将 这 两 种 模型 进行 复合 。 然 而 ， 基 于 格 的 直 


于 它们 信息 流 方 向 相反 ， 如 何 合 
取 类 进行 合并 ， 


] 基 于 可 信 主 体 提 出 了 一 种 新 的 安全 模 


的 权限 过 大 可 能 会 破坏 系统 安全 性 ; 文 
类 : 直接 创建 者 和 直接 读者 ， 间 接 创建 者 和 间接 读者 ， 并 
通过 “ 读 ” 来 保障 程序 的 机 密 性 ， 通 过 “ 写 ” 来 保障 程序 的 完整 性 。 但 是 ,“ 读 ”和 “ 写 ” 这 两 个 操 
作 均 与 机 密 性 模型 和 完整 性 模型 密切 相关 , 仅 通 过 单个 的 “ 读 ” 或 “ 写 ” 操 作 能 否 有 效 地 保障 机 


密 性 或 完整 性 ， 这 需要 进一步 研究 ; 文献 [51] 在 降级 策略 及 程序 等 价 的 环境 下 给 出 统一 的 机 
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密 性 和 完整 性 策略 ， 但 并 未 给 出 如 何 处 理 BLP 模型 和 Biba 模型 在 信息 流 上 的 矛盾 性 。 


ms 


基于 混杂 类 型 检测 的 安全 7 演算 (Hybrid Typed Security Pi, HTSPi) 的 思路 是 利用 天 演 
算 能 够 有 效 为 移动 并 发 系统 的 特征 建 模 ， 再 借鉴 程序 语言 中 不 同类 型 变量 之 间 的 赋值 方式 。 


El 


该 方法 利用 静态 类 型 检测 保障 低 机 密级 信息 只 能 向 同等 或 更 高 机 密级 信息 流动 , 高 完整 级 信 


向 同等 或 更 低 完整 级 信息 流动 ， 针 对 BLP 模型 和 Biba 模型 信息 流向 相反 的 特性 ， 利 用 动 


态 检 测 来 进行 调整 。 这 一 方法 将 静态 检测 和 动态 检测 有 机 地 整合 在 一 起 , 形成 了 一 种 统一 的 


形式 框 染 ， 


既 能 保障 机 密 性 又 能 保障 完整 性 ， 可 高 效 静态 地 推理 系统 的 行为 。 


4 ^8 


系统 确保 是 为 了 保证 硬 软 件 系 统 在 一 定 的 环境 下 与 用 户 交 互 过 程 中 能 提供 预期 服务 ,为 
了 保障 系统 提供 预期 的 服务 ， 安 全 评估 是 极其 重要 的 环节 。 在 众多 的 安全 评估 方式 中 ， 安 全 


xal 


E 


4| 


—- 


昌 性 可 计算 理论 是 一 种 重要 的 方式 ,可 以 从 不 同 的 抽象 层面 、 不 同 的 侧重 角度 对 系统 的 安全 
生 能 进行 评估 。 然 而 目前 这 一 方向 的 研究 尚 处 于 初始 阶段 , 我 们 期 望 能 引起 更 多 研究 者 对 该 


方法 的 重视 ， 从 安全 属性 的 角度 对 系统 的 安全 评估 进行 深入 的 研究 。 


参考 文献 : 
[1] 


[2] 


[13] 


[14] 


J. Jeremy. Security Specifications. Proceedings of the IEEE Symposium on Security and Privacy. 
1988, 14-23 


J. A. Goguen, J. Meseguer. Security Policies and Security Models. Proceedings of IEEE Symposium 
on Security and Privacy. 1982, 11-20 


J. A. Goguen J. Meseguer. Inference Control and Unwinding. Proceedings of IEEE Symposium on 
Security and Privacy. 1984,75-86 


R. Focardi, R. Gorrieri. Classification of Security Properties (Part I: Information Flow). Proceedings 
of Foundations of Security Analysis and Design. LNCS 2171. 2001 


R. Focardi, R. Gorrieri and F. Martinelli. Classification of Security Properties (Part II: Network 
Security). Proceedings of Foundations of Security Analysis and Design II. LNCS 2946. 2004 


A. Aldini, M. Bravetti and R. Gorrieri. A Process-Algebraic Approach for the Analysis of 
Probabilistic Non-Interference. Journal of Computer Security. 2004, |12(2):191-245 


A. Aldini. Classification of Security Properties in a Linda-Like Process Algebra. Journal of Science 
of Computer Programming, Special Issue on Security Issues in Coordination Models, Languages and 
Systems. 2006,63(1):16-38 


S. Schneider. Security Properties and CSP. Proceedings of IEEE Symposium on Security and 
Privacy. 1996,174-187 


R. Focardi, F. Martinelli. A Uniform Approach for the Definition of Security Properties. Proceedings 
of Proceedings of the World Congress on Formal Methods in the Development of Computing 
Systems, LNCS 1708. 1999,794 - 813 


R. Focardi, R. Gorrieri and F. Martinelli. A Comparison of Three Authentication Properties. 
Theoretical Computer Science. 2003,291(3):285 - 327 

M. Burrows, M. Abadi and R. M. Needham. A Logic of Authentication. ACM Transactions on 
Computer Systems. 1990, 8(1):18-36 


L. Gong, R. Needham and R. Yahalom. Reasoning About Belief in Cryptographic Protocols. 
Proceedings of Proceedings of the IEEE Symposium on Research in Security and Privacy. 
1990,234-248 


M. Abadi, M. R. Tuttle. A Semantics for a Logic of Authentication. Proceedings of Annual ACM 
Symposium on Principles of Distributed Computing. 1991,201 — 216 


PC. Van Oorschot. Extending Cryptographic Logics of Belief to Key Agreement Protocols. 
Proceedings of the ACM conference on Computer and communications security. 1994,232 — 243 


40 


[15] 


[16] 


[17] 


[18] 
[19] 


[20] 
[21] 


[22] 


[23] 


[24] 


[25] 


[26] 


[27] 


[28] 


[29] 


[30] 


[31] 


[37] 


[38] 


[39] 


] 
m 


面向 系统 确保 的 属 


性 可 计算 方法 


李 益 发 ， 密码 协议 安全 性 分 析 中 的 逻辑 化 方法 一 一 种 新 的 ban 类 逻辑 ， 解 放 军 信息 工程 大 学 ， 
2001 


Sigrid Gürgens, Peter Ochsenschláger and Carsten Rudolph. On a Formal Framework for Security 
Properties. Computer Standards & Interfaces. 2005,27(5):457-466 


A. Mana, G. Pujol, Towards Formal Specification of Abstract Security Properties. Proceedings of 
the Third International Conference on Availability, Reliability and Security 2008,80-87 


陆 佬 达 ， 徐 蔚 文 . 身份 认证 协议 的 模型 检测 分 析 ， 计 算 机 学 报 . 2003, 26(2):195-201 


L. Spalazzi, M. Panti, S. Tacconi, Using the Nusmy Model Checker to Verify the Kerberos Protocol. 
Proceedings of Proceedings of the Collaborative Technologies Symposium 2002,230-236 


B. Alpern, F. B. Schneider. Defining Liveness. Information Processing Letters. 1985, 21(4):181-185 


M. Clarkson, F. Schneider. Hyperproperties. Proceedings of Computer Security Foundations 
Symposium. 2008,51-65 

D. E. Bell, L. J. Lapadula. Secure Computer Systems: A Mathematical Model. Hanscom AFB, 
Bedford, MA, Rep. FSD-TR- 73-278, vol. 1, ESD/AFSC. 1973 


K. J. Biba. Integrity Considerations for Secure Computer System. Technical Report ESD-TR-. 76-372, 
MTR-3153, The MITRE Corporation. 1977 


L. Badger, D. F. Sterne, D. L. Sherman, K. M. Walker, S. A. Haghighat. A Domain and Type 
Enforcement Unix Prototype. Proceedings of the Fifth USENIX UNIX Security Symposium. 
1995,127-140 

D. D. Clark, D. R. Wilson. A Comparison of Commercial and Military Computer Security Policies. 
Proceedings of the IEEE Symposium on Security and Privacy. 1987, 184—194 

J. Park, R. Sandhu. The UCONABC Usage Control Model. ACM Transactions on Information and 
System Security. 2004, 7(1):128 -174 


J. K. Millen, Finite-State Noiseless Covert Channels. Proceedings of Proceedings of the Computer 
Security Foundations Workshop. 1989,81-86 


D. Denning, Cryptography and Data Security. Addison-Wesley Longman Publishing Co., Inc. Boston, 
MA, USA, 1982 


J. K. Millen, Covert Channel Capacity. Proceedings of IEEE Symposium on Research in Security 
and Privacy. 1987,60-66 


J. Mclean, Security Models and Information Flow. Proceedings of IEEE Computer Society 
Symposium on Security and Privacy. 1990, 180-187 


J. W. Gray III. Toward a Mathematical Foundation for Information Flow Security. Proceedings of 
IEEE Computer Society Symposium on Research in Security and Privacy. 1991, 21-34 


D. Clark, S. Hunt, P. Malacaria. A Static Analysis for Quantifying Information Flow in a Simple 
Imperative Language. Journal of Computer Security, 2007,15(3):321-371 


G. Smith. On the Foundations of Quantitative Information Flow. Lecture Notes in Computer Science. 
2009,5504:288-302 


M. R. Clarkson, A. C. Myers, F. B. Schneider. Belief in Information Flow. | Proceedings of Computer 
Security Foundations,(CSF05). 2005,31-45 


S. Hamadou, V. Sassone, C. Palamidessi. Reconciling Belief and Vulnerability in Information Flow. 
Proceedings of IEEE Symposium on Security and Privacy (SP). 2010,79-92 


A. Aldini, D. Pierro. A Quantitative Approach to Noninterference for Probabilistic Systems Electronic 
Notes in Theoretical Computer Science. 2004, 99(6):155-182 


A. Aldini, D. Pierro. Estimating the Maximum Information Leakage. International Journal of 
Information Security. 2008, 7(3):219-242 


Pierro A D, Hankin C, Wiklicky H. Approximate Non-Interference. Journal of Computer Security. 
2004, 12:37-82 


G. YunChuan, Y. Lihua, Z. Yuan, L. Chao, G. Li, Simulation Analysis of Probability Timing Covert 
Channels. Proceedings of IEEE International Conference on Networking, Architecture, and Storage 
(NAS 2009) 2009,325-332 


41 


9 卷 第 3 


[40] 


[41] 


[42] 


[43] 


[52] 


[53] 


[54] 


[55] 


[56] 


[57] 


作者 简介 : 


郭 云 川 ; 
RME: 


XJ4L2 : 


期 信息 技术 快报 Vol.9 No.3 
Information Technology Letter May 2011 


H. Yasuoka, Terauchi T. Quantitative Information Flow-Verification Hardness and Possibilities. 
Proceedings of IEEE Computer Security Foundations Symposium (CSF),. 2010,15-27 


B. Kópf, D. Basin. An Information-Theoretic Model for Adaptive Side-Channel Attacks. Proceedings 
of the 14th ACM conference on Computer and communications security 2007, 286-296 


M. R. Clarkson, F. B. Schneider. Quantification of Integrity. Proceedings of IEEE Symposium on 
Computer Security Foundations. 2010,28-43 


B. Littlewood, S. Brocklehurst, N. Fenton, P. Mellor, S. Page, D. Wright, J. Dobson, J. McDermid, D. 
Gollmann. Towards Operational Measures of Computer Security. Journal of Computer Security, 
1993,2:211-229 


L. Lamport, R. Shostak, M. Pease. The Byzantine Generals Problem. ACM Transactions on 
Programming Languages and Systems. 1982, 4 (3):382-401 


M. Gasser. Building a Secure Computer System, 1988 

R. S. Sandhu. Lattice-Based Access Control Models. IEEE Computer. 1993, 26(11):9-19 

MER, RH, 沈 昌 祥 . 基于 多 级 安全 策略 的 二 维 标识 模型 .计算 机 学 报 . 2004, 27(5):619-624 
沈 昌 祥 ， 李 益 发 ， 一 种 新 的 操作 系统 安全 模型 .中 国 科学 (E 辑 , 信 息 科 学 ). 2006, 36(4):347-356 
刘 威 鹏 , IKN. 基于 非 传递 无 干扰 理论 的 二 元 多 级 安全 模型 研究 ， 通 信 学 报 . 2009, 39(2):52-58 


N. Heintze, J. G. Riecke. The Slam Calculus: Programming with Secrecy and Integrity. Proceedings 
of the 25th ACM SIGPLAN-SIGACT symposium on Principles of programming languages. 1998, 
365-377 


P. LL S. Zdancewic. Unifying Confidentiality and Integrity in Downgrading Policies. Proceedings of 
the LICS'05 Affiliated Workshop on Foundations of Computer Security (FCS). 2005,45-54 


S. Jha, R. Linger, T. Longstaff, J. Wing. Survivability Analysis of Network Specifications. Dependable 
Systems and Networks, New York, USA, IEEE Press, 2000:613-—622 


Y. Liu, K. S. Trivedi. A General Framework for Network Survivability Quantification. the 12th 


GI/ITG Conference Measuring, Modeling and Evaluation of Computer and Communication Systems, 
Dresden, Germany, 2004,369—378 


D. Chen, S. Garg, K. S. Trivedi. Network Survivability Performance Evaluation: A Quantitative 
Approach with Applications in Wireless Ad-hoc Networks. the 5th ACM International Workshop on 
Modeling, Analysis and Simulation of Wireless and Mobile Systems ( MSWiM 2002) , Atlanta, 
2002,61—68 


J. McDermott. Attack-Potential-based Survivability Modeling for High-Consequence Systems. the 3rd 
IEEE International Workshop on Infromation Assureance (IWIA'05), Callege Park, Maryland, USA, 
2005,119-130 


M. Dacier, Y. Deswarte, M. Kaaniche. Models and tools for quantitative assessment of operational 
security. Information systems security: facing the information society of the 21st century, 1996, 177 - 
186 


R. Lanotte, A. Schettini, A. Troina. A Classification of Time and/or Probability Dependent Security 
Properties. Electronic Notes in Theoretical Computer Science.2006, 153(177-193) 


中 国 科学 院 计算 技术 研究 所 信息 安全 研究 中 心 博士 研究 生 
中 国 科 学 院 计算 技术 研究 所 信息 安全 研究 中 心 博士 后 
yinlihua@software. ict. ac. cn 


中 国 科 学 院 计 算 技术 研究 所 信息 安全 研究 中 心 博士 研究 生 


m 


42 


